AVrecon 봇넷 악성코드

2021년 5월부터 AVrecon으로 알려진 매우 은밀한 Linux 맬웨어가 Linux 기반 시스템에서 작동하는 70,000개 이상의 소규모 사무실/홈 오피스(SOHO) 라우터에 침투했습니다. 이렇게 손상된 라우터는 봇넷에 통합되어 대역폭을 훔치고 숨겨진 상주 프록시 서비스를 설정하는 이중 목적을 수행합니다. Infosec 전문가에 따르면 AVrecon에 의해 손상된 70,000개의 장치 중 약 40,000개가 봇넷에 통합되었습니다.

이 봇넷을 활용함으로써 AVrecon 운영자는 일련의 유해한 사업을 효과적으로 숨길 수 있습니다. 이러한 활동에는 사기성 디지털 광고 계획에서 암호 살포 공격에 이르기까지 광범위한 스펙트럼이 포함됩니다. 숨겨진 주거용 프록시 서비스의 가용성은 운영을 익명화하고 손상된 네트워크 인프라를 악용하여 탐지되지 않은 채 사악한 활동을 수행할 수 있는 수단을 제공합니다.

AVrecon 맬웨어는 침해된 장치에서 조용히 작동합니다.

AVrecon은 2021년 5월 처음 탐지된 이후 탐지를 회피하는 놀라운 능력을 보여주었습니다. 처음에는 Netgear 라우터를 표적으로 삼았고 2년 이상 탐지되지 않은 상태를 유지하면서 새로운 봇을 유인하여 범위를 꾸준히 확장했습니다. 이러한 끊임없는 성장으로 최근 소규모 사무실/홈 오피스(SOHO) 라우터를 대상으로 하는 가장 큰 봇넷 중 하나가 되었습니다.

이 맬웨어 배후의 공격자는 사용자가 알려진 취약성 및 노출(CVE)에 대해 패치할 가능성이 적은 SOHO 장치를 악용하는 데 전략적으로 집중한 것으로 보입니다. 보다 신중한 접근 방식을 채택함으로써 운영자는 2년 이상 탐지를 피하면서 장기간 은밀하게 운영할 수 있었습니다. 맬웨어의 은밀한 특성은 감염된 장치의 소유자가 눈에 띄는 서비스 중단이나 대역폭 손실을 거의 경험하지 못하여 봇넷이 탐지되지 않고 지속될 수 있음을 의미합니다.

라우터가 감염되면 맬웨어는 손상된 장치의 정보를 내장된 명령 및 제어(C2) 서버로 전송합니다. 이후 해킹된 컴퓨터는 2단계 C2 서버로 알려진 별도의 서버 집합과 통신을 설정하라는 명령을 받습니다. 조사 중에 보안 연구원은 총 15개의 2단계 제어 서버를 식별했습니다. 이러한 서버는 x.509 인증서 정보에 따라 최소 2021년 10월부터 운영되었습니다.

이러한 2단계 C2 서버의 존재는 멀웨어 배후의 위협 행위자가 사용하는 정교한 인프라와 조직을 강조합니다. 이 지속적이고 파악하기 어려운 봇넷의 영향을 퇴치하고 완화하는 데 있어 사이버 보안 전문가가 직면한 문제를 더욱 강조합니다.

손상된 SOHO 장치는 심각한 결과를 초래할 수 있습니다.

CISA(Cybersecurity and Infrastructure Security Agency)에서 최근 발행한 구속력 있는 운영 지침(BOD)에서 미국 연방 기관은 SOHO 라우터를 포함하여 인터넷에 노출된 네트워킹 장비를 보호하기 위해 즉각적인 조치를 취해야 합니다. 이 지침에 따라 연방 기관은 잠재적인 위반 시도를 방지하기 위해 발견 후 14일 이내에 이러한 장치를 강화해야 합니다.

이 긴급한 이유는 그러한 장치의 성공적인 손상이 위협 행위자에게 손상된 라우터를 공격 인프라에 통합할 수 있는 능력을 부여하기 때문입니다. CISA가 경고에서 강조한 바와 같이 이것은 표적이 된 기업의 내부 네트워크로의 측면 이동을 위한 발판 역할을 할 것입니다.

위협 행위자가 AVrecon을 사용하는 것은 두 가지 목적, 즉 트래픽을 프록시하고 암호 살포와 같은 악의적인 활동에 참여하는 것입니다. 이 독특한 작업 방식은 주로 직접 네트워크 표적에 초점을 맞춘 이전의 라우터 기반 맬웨어 발견과 차별화됩니다.

이 위협의 심각성은 SOHO 라우터가 일반적으로 기존 보안 경계 외부에서 작동한다는 사실에서 발생합니다. 결과적으로 안전하지 않은 활동을 탐지하는 방어자의 능력이 크게 감소합니다. 이러한 상황은 잠재적 침해의 위험을 완화하고 전반적인 네트워크 보안을 강화하기 위해 이러한 장치를 신속하게 보호하는 것이 매우 중요하다는 점을 강조합니다.